Poznaj najlepsze rozwiązania dotyczące usługi Azure Key Vault

  • 3 min

Usługa Azure Key Vault jest narzędziem do bezpiecznego przechowywania wpisów tajnych i uzyskiwania do nich dostępu. Wpis tajny to dowolny zasób, do którego dostęp powinien być ściśle kontrolowany. Przykładowe wpisy tajne to klucze interfejsu API, hasła i certyfikaty. Magazyn jest logiczną grupą wpisów tajnych.

Uwierzytelnianie

Aby wykonać wszystkie operacje w usłudze Key Vault, należy najpierw przeprowadzić jego uwierzytelnianie. Istnieją trzy sposoby uwierzytelniania w usłudze Key Vault:

  • Tożsamości zarządzane dla zasobów platformy Azure: podczas wdrażania aplikacji na maszynie wirtualnej na platformie Azure można przypisać tożsamość do maszyny wirtualnej, która ma dostęp do usługi Key Vault. Tożsamości można również przypisywać do innych zasobów platformy Azure. Zaletą tego podejścia jest to, że aplikacja lub usługa nie zarządza rotacją pierwszego wpisu tajnego. Platforma Azure automatycznie obraca klucz tajny klienta jednostki usługi skojarzony z tożsamością. Zalecamy takie podejście jako najlepsze rozwiązanie.

  • Jednostka usługi i certyfikat: możesz użyć jednostki usługi i skojarzonego certyfikatu, który ma dostęp do usługi Key Vault. Nie zalecamy tego podejścia, ponieważ właściciel aplikacji lub deweloper musi wymienić certyfikat.

  • Jednostka usługi i wpis tajny: chociaż można użyć jednostki usługi i wpisu tajnego do uwierzytelniania w usłudze Key Vault, nie zalecamy jej. Trudno jest automatycznie obrócić wpis tajny bootstrap używany do uwierzytelniania w usłudze Key Vault.

Szyfrowanie danych w tranzycie

Usługa Azure Key Vault wymusza protokół Transport Layer Security (TLS) w celu ochrony danych podczas podróży między usługą Azure Key Vault a klientami. Klienci negocjują połączenie TLS z usługą Azure Key Vault. Protokół TLS zapewnia silne uwierzytelnianie, prywatność wiadomości i integralność (umożliwia wykrywanie naruszenia, przechwytywania i fałszowania komunikatów), współdziałanie, elastyczność algorytmu oraz łatwość wdrażania i używania.

Perfect Forward Secrecy (PFS) chroni połączenia między systemami klienckimi klientów i usługami firmy Microsoft w chmurze za pomocą unikatowych kluczy. Połączenie ions używają również 2048-bitowych długości kluczy szyfrowania opartych na protokole RSA. Ta kombinacja utrudnia komuś przechwytywanie i uzyskiwanie dostępu do danych przesyłanych.

Najlepsze rozwiązania dotyczące usługi Azure Key Vault

  • Użyj oddzielnych magazynów kluczy: zalecane użycie magazynu dla poszczególnych aplikacji (programowanie, przedprodukcyjne i produkcyjne). Ten wzorzec pomaga nie udostępniać wpisów tajnych w środowiskach, a także zmniejsza zagrożenie w przypadku naruszenia zabezpieczeń.

  • Kontrola dostępu do magazynu: dane usługi Key Vault są poufne i krytyczne dla działania firmy. Musisz zabezpieczyć dostęp do magazynów kluczy, zezwalając tylko na autoryzowane aplikacje i użytkowników.

  • Kopia zapasowa: utwórz regularne kopie zapasowe magazynu podczas aktualizowania/usuwania/tworzenia obiektów w magazynie.

  • Rejestrowanie: pamiętaj, aby włączyć rejestrowanie i alerty.

  • Opcje odzyskiwania: włącz ochronę usuwania nietrwałego i przeczyszczania, jeśli chcesz chronić przed wymuszonym usunięciem wpisu tajnego.